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Reaktion der EU auf Cyberangriffe 


Vorbemerkung der Fragesteller 

In einem „Cybersicherheitspaket“ will die Europäische Union ihre „Reaktions¬ 
fähigkeit auf Cyberangriffe“ verbessern (Quelle hier und im Folgenden: Presse¬ 
mitteilung sowie Factsheet der Europäischen Kommission vom 19. September 
2017). Als neues „Instrument zur Verbesserung des Schutzes gegen Cyberan¬ 
griffe“ plant die EU-Kommission unter anderem die Einrichtung einer „EU- 
Agentur für Cybersicherheit“, um die bislang existierende Abwehrfähigkeit und 
Reaktion der EU bei Cyberattacken zu verbessern, indem die bereits existie¬ 
rende Agentur für Netz- und Infonnationssicherheit (ENISA) „gestärkt“ wird 
und Mitgliedstaaten beim Umgang mit Cyberangriffen unterstützt werden. 
Hierzu soll die ENISA mit einem ständigen Mandat ausgestattet werden. Zu¬ 
sätzlich zu den regelmäßig abgehaltenen „EU-Cyberübungen“ soll auch die 
neue Agentur jährliche europaweite „Cybersicherheitsübungen“ durchführen. 
Wie in der Richtlinie über die Sicherheit von Netz- und Informationssystemen 
vorgesehen, soll die rundemeuerte ENISA dafür sorgen, dass injedem Mitglied¬ 
staat „schwerwiegende Cybersicherheitsvorfälle“ einer nationalen Behörde ge¬ 
meldet werden müssen. 

Ebenfalls geplant ist die Einrichtung eines europäischen „Forschungs- und 
Kompetenzzentrums für Cybersicherheit“, ein entsprechendes „Pilotzentrum“, 
soll noch 2018 starten, um die Mitgliedstaaten bei der Entwicklung und Nutzung 
von „Instrumenten und Technik“ gegen die „immer neuen Bedrohungen“ zu un¬ 
terstützen. Das Zentrum könnte außerdem „um eine Cyberabwehr-Abteilung er¬ 
gänzt werden“. Dessen ungeachtet stellt die Kommission ein „Kompetenzdefizit 
im Bereich der Cyberabwehr“ fest, dem noch 2018 mit einer „Plattform für die 
Ausbildung und Aufklärung im Bereich der Cyberabwehr“ begegnet werden 
soll. Von Cyberangriffen betroffene Mitgliedstaaten könnten ähnlich wie beim 
EU-Katastrophenschutzmechanismus aus einem „Cybersicherheits-Notfall- 
fonds“ unterstützt werden, allerdings müssten diese zuvor alle nach EU-Recht 
vorgeschrieben Cybersicherheitsmaßnahmen „ordnungsgemäß umgesetzt ha¬ 
ben“. Weitere neue Kapazitäten sollen für die „Enttarnung, Rückverfolgbarkeit 
und Verfolgung von Cyberkriminellen“ sorgen. Genannt werden jedoch keine 
Maßnahmen zur Bekämpfung von Cyberangriffen, sondern lediglich „Betrug 
und Fälschung im Zusammenhang mit bargeldlosen Zahlungsmitteln“. Eben¬ 
falls als „Ermittlungsarbeit bei Cyberdelikten“ wird die Erleichterung des 
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grenzüberschreitenden Zugangs zu elektronischen Beweismitteln genannt, die 
eigentlich zur Beschlagnahme von Cloud-Daten im EU-Ausland dienen soll und 
die „Überlegungen zur Rolle der Verschlüsselung bei kriminaltechnischen Er¬ 
mittlungen“. 

Schließlich arbeitet die EU-Kommission an einem „Konzept, wie Europa und 
die Mitgliedstaaten in der Praxis gemeinsam rasch reagieren können, wenn es 
zu einem groß angelegten Cyberangriff kommt“. In einer bereits vorgelegten 
Empfehlung werden die Mitgliedstaaten und die EU-Organe aufgefordert, für 
die praktische Umsetzung einen EU-Rahmen für die Reaktion auf Cybersicher¬ 
heitskrisen zu schaffen. Zur Verbesserung der Cyberabwehr sollen auch militä¬ 
rische Strukturen („Cyberabwehrprojekte“) eingebunden werden, die EU-Kom¬ 
mission nennt hierzu die ständige strukturierte Zusammenarbeit (PESCO) und 
den Europäischen Verteidigungsfonds. Insbesondere mit der NATO soll die Eu¬ 
ropäische Union die „Forschungs- und Innovationszusammenarbeit“ intensivie¬ 
ren. Wie in den Jahren 2017 und 2018 ist die Beteiligung an „parallelen und 
koordinierten Übungen“ geplant (Antwort der Bundesregierung auf die Kleine 
Anfrage auf Bundestagsdrucksache 19/1212). Zur Verbesserung der internatio¬ 
nalen Zusammenarbeit plant die EU-Kommission die Umsetzung eines „Rah¬ 
mens für eine gemeinsame diplomatische Reaktion auf böswillige Cyberaktivi¬ 
täten“. Auch Drittländer sollen bei der „Bewältigung von Cyberbedrohungen“ 
unterstützt werden. 


Vorbemerkung der Bundesregierung 

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beant¬ 
wortung gestellter Fragen in der Öffentlichkeit angelegt. Die Bundesregierung ist 
allerdings nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Be¬ 
antwortung der Fragen 15c und 15d nicht vollständig in offener Fonn erfolgen 
kann. 

Die Einstufung der Antwort auf die Fragen 15c und 15d als Verschlusssache (VS) 
mit dem Geheimhaltungsgrad „VS - Nur für den Dienstgebrauch“ wird im Hin- 
blick auf das Staatswohl als erforderlich erachtet, da sie Details zu Cyberoperati¬ 
onen enthalten und die offene Bekanntgabe von Informationen die Durchführung 
zukünftiger Operationen gefährden könnte. Nach § 3 Nummer 4 der Allgemeinen 
Verwaltungsvorschrift zum materiellen und organisatorischen Schutz von Ver¬ 
schlusssachen (Verschlusssachenanweisung, VSA) sind Infonnationen, deren 
Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutsch¬ 
land oder eines ihrer Länder nachteilig sein können, entsprechend einzustufen. Im 
vorliegenden Fall werden diese Informationen daher als „VS - Nur für den 
Dienstgebrauch“ eingestuft und dem Deutschen Bundestag gesondert übermittelt. 


1. Inwiefern teilt die Bundesregierung die Einschätzung der EU-Kommission, 
die ein „Kompetenzdefizit im Bereich der Cyberabwehr“ feststellt, und wo¬ 
rin liegt dies begründet? 

In der „Gemeinsamen Mitteilung an das Europäische Parlament und den Rat - 
Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der Euro¬ 
päischen Union (EU) wirksam erhöhen“ vom 13. September 2017 (imFolgenden 
„Gemeinsame Mitteilung“) stellen die Europäische Kommission und die Hohe 
Vertreterin der Union für Außen- und Sicherheitspolitik fest, dass die Mitglied¬ 
staaten der EU über Kompetenzen im Bereich der Cyberabwehr verfügen, die in 
unterschiedlichem Maß fortschrittlich sind. Die Cyberabwehrkompetenzen seien 
auszubauen, um insgesamt eine Erhöhung der Cybersicherheit herbeizuführen. 
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Die Bundesregierung teilt die in der oben genannten Gemeinsamen Mitteilung 
geäußerte Einschätzung, dass die Ausbildung und Weiterentwicklung von Kom¬ 
petenzen im Bereich der Cyberabwehr eine kontinuierlich zu bearbeitende Auf¬ 
gabe in der EU darstellt. Elierfür bedarf es eines umfassenden gemeinsamen An¬ 
satzes. 

Zu diesem Zweck setzt sich die Bundesregierung auch auf europäischer Ebene 
für eine kohärente Cyber-Sicherheitspolitik ein. Der Ausbau von Kompetenzen 
im Bereich der Cyberabwehr ist hierbei ein essentieller Bestandteil. Mit der 
EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen 
Sicherheitsniveaus von Netz- und Informationssystemen (im Folgenden „NIS- 
Richtlinie“) soll die Abwehrbereitschaft der Mitgliedstaaten, die unterschiedlich 
stark ausgeprägt ist, auf ein gemeinsames hohes Niveau gehoben werden. 

Zuletzt bestätigte am 20. November 2017 der Rat der Europäischen Union in sei¬ 
nen Schlussfolgerungen zu der o. g. Gemeinsamen Mitteilung, dass die Gewähr¬ 
leistung von Cybersicherheit in der EU eine Stärkung der Abwehrfähigkeit der 
Mitgliedstaaten und der hierfür notwendigen Kompetenzen voraussetzt. 


2. Ab welcher Schwelle einer „Cybersicherheitskrise“ sollten „Europa und die 
Mitgliedstaaten in der Praxis“ aus Sicht der Bundesregierung „gemeinsam 
rasch reagieren können, wenn es zu einem groß angelegten Cyberangriff 
kommt“? 

Generell sind die Maßnahmen bei Cyberkrisen Sache des einzelnen Mitglied¬ 
staats. Derzeit wird über Maßnahmen bei einem Cyber-Sicherheitsvorfall im Rah¬ 
men der Verhandlungen über den Cybersecurity-Act verhandelt. Die Verhand¬ 
lungen darüber, ob und welche Maßnahmen zu ergreifen sind und ob hierfür 
Schwellenwerte festgelegt werden sind nicht abgeschlossen. Die Meinungsbil¬ 
dung der Bundesregierung hierzu ist noch nicht abgeschlossen. 

Auf nationaler Ebene wurden in Deutschland unter anderem mit dem IT-Sicher- 
heits-gesetz, der BSI-Kritis-Verordnung, der Cyber-Sicherheitsstrategie für 
Deutschland der Bundesregierung vom November 2016 und der Umsetzung NIS- 
Richtlinie bereits zentrale Vorhaben umgesetzt. Der strategische, rechtliche und 
institutionelle Rahmen wird desgleichen weiterentwickelt, um die mit der hohen 
Dynamik der Digitalisierung einhergehenden Herausforderungen zu bestehen. 


3. Welche wesentlichen Akteure der Mitgliedstaaten und der Europäischen 
Union sind aus Sicht der Bundesregierung im Bereich des operativen und 
strategischen Krisenmanagements im Cyberraum unterrepräsentiert und 
müssten stärker beteiligt werden (etwa Reaktionsteams für Computersicher¬ 
heitsverletzungen, Europol, der Europäische Auswärtige Dienst, die East 
StratCom Task Force, die Website „EUvsdisinformation“)? 

Die Bundesregierung teilt die Auffassung, dass wesentliche Akteure unterreprä¬ 
sentiert seien, nicht, und trifft keine Aussagen über die Akteure anderer Mitglied¬ 
staaten oder der der EU. 
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4. Welche Rolle sollte eine „EU-Agentur für Cybersicherheit“ aus Sicht der 
Bundesregierung hinsichtlich der Abwehrfähigkeit und Reaktion der EU auf 
Cyberangriffe übernehmen, und welche Maßnahmen hält sie dazu für geeig¬ 
net? 

Die Bundesregierung begrüßt und unterstützt ausdrücklich ein stärkeres gemein¬ 
sames Vorgehen der EU bei der Abwehr von Cyber-Angriffen. Dabei kommt dem 
Rat und den Mitgliedstaaten, bei denen wesentliche Kapazitäten und Kompeten¬ 
zen im Bereich Cyber-Sicherheit liegen, eine zentrale Rolle zu. Ein permanentes 
Mandat für ENISA wird ausdrücklich begrüßt. Regelungen für die Ausgestaltung 
der Aufgaben der ENISA werden derzeit mit dem Cybersecurity-Act verhandelt. 


5. Inwiefern sollte die neue Agentur aus Sicht der Bundesregierung zusätzlich 
zu den regelmäßig abgehaltenen „EU-Cyberübungen“ weitere „Cybersicher¬ 
heitsübungen“ durchführen, und welche Defizite sollten damit überbrückt 
werden? 

Aus Sicht der Bundesregierung sind die heute durchgeführten Übungen der 
Gefahrenlage und der bestehenden Organisation angepasst. Neue, durch die EU- 
Agentur für Cybersicherheit durchgeführte, Übungsformate müssen sich in den 
Kontext bestehender EU, NATO und nationaler Übungen einfügen. 


6. Wo soll nach Kenntnis der Bundesregierung das europäische „Forschungs¬ 
und Kompetenzzentrums für Cybersicherheit“ bzw. ein entsprechendes „Pi¬ 
lotzentrum“ eingerichtet werden, um die Mitgliedstaaten bei der Entwick¬ 
lung und Nutzung von „Instrumenten und Technik“ gegen die „immer neuen 
Bedrohungen“ zu unterstützen? 

Nach derzeitiger Kenntnis wurden noch keine konkreten Festlegungen zu einem 
solchen Zentrum getroffen. Vielmehr wurden seitens der EU-Kommission mög¬ 
liche Pilotprojekte ausgeschrieben, die im Ergebnis als Ausgangspunkt für ein 
solches Zentrum (oder mehrerer solchen Zentren) dienen können (vgl. 
http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/h2020/ 
topics/su-ict-03-20 18.html). 

Laut der Ausschreibungsunterlage sind bis zu drei Pilotprojekte vorgesehen, die 
vor allem die Forschungskoordination zum Ziel haben. Aus diesen könnten in der 
Folge (drei) koordinierende Zentren - verteilt über Europa - hervorgehen. Der 
Umfang der Ausschreibung beläuft sich auf ca. 50 Mio. Euro. Es ist vorgesehen, 
dass die aufzustellenden Konsortien aus mindestens 20 Teilnehmern aus mindes¬ 
tens neun Mitgliedstaaten bestehen. Die Ausschreibungsfrist endet im Mai 2018. 
Mit der Vergabeentscheidung ist Ende 2018 zu rechnen. 

Darüber hinaus hat die EU-Kommission mit der Veröffentlichung eines Inception 
Impact Assessment (IIA) (vgl. https://ec.europa.eu/info/law/better-regulation/ 
initiatives/ares-2018-1598442_ de) angekündigt, neben der zuvor dargestellten 
Option die Einrichtung eines Europäischen Cybersecurity Forschungs- und Kom¬ 
petenzzentrums in Fonn einer Generaluntemehmung gern. Artikel 187 des 
Vertrags über die Arbeitsweise der europäischen Union zu prüfen. Damit würde 
eine eigenständige EU Einrichtung geschaffen werden. Auf Aufwand und Kosten 
wird im IIA nicht detailliert eingegangen. Als dritte Option führt das IIA die Ein¬ 
richtung eines Zentrums basierend auf Artikel 173 des Vertrags über die Arbeits¬ 
weise der europäischen Union auf. Dieses soll ebenfalls als zentrale Einheit ein¬ 
gerichtet werden und in Zusammenarbeit mit den möglicherweise aus der zuvor 
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genannten Ausschreibung entstehenden Koordinierungszentren entsprechend Sy¬ 
nergien erzielen. Details sind ebenfalls nicht ausgeführt. Daher sind diesbezüg¬ 
lich ebenfalls keine konkreten Aussagen zu treffen. 


a) Welche Mitgliedstaaten oder sonstigen Einrichtungen nehmen an dem 
Zentrum teil, und welche Kapazitäten stellt die Bundesregierung hierfür 
zur Verfügung? 

Auf die Antwort zu Frage 6 wird verwiesen. 


b) Welche Haltung vertritt die Bundesregierung zur Frage, inwiefern das 
Zentrum um eine „Cyberabwehr-Abteilung“ ergänzt werden sollte, und 
über welche Kompetenzen dieses verfügen sollte? 

Die Etablierung einer „Cyberabwehr-Abteilung“ innerhalb eines Forschungszent¬ 
rums bzw. einer Forschungskoordinierungsstelle ist nicht vorgesehen und aus 
Sicht der Bundesregierung nicht zielführend. 


7. Wo soll die von der EU-Kommission angekündigte „Plattform für die Aus¬ 
bildung und Aufklärung im Bereich der Cyberabwehr“ nach Kenntnis der 
Bundesregierung eingerichtet werden? 

Auf die Antwort zu Frage 9 wird verwiesen. Bei der in der Frage benannten Platt¬ 
form handelt es sich um die ETEE („education, training, evaluation and exercise“) 
Plattform als Teil des ESDC. 


8. Auf welche Weise arbeiten Bundesbehörden mit dem „Incident and Threat 
Information Sharing EU Centre“ (ITIS-EUC) zusammen, über das „Infor¬ 
mationen über Cyberbedrohungen und -Vorfälle im Energiesektor analysiert 
und ausgetauscht werden“ (Ratsdokument 11539/17)? 

Bei dem Incident and Threat Infonnation Sharing EU Centre (ITIS-EUC) handelt 
es sich um eine webbasierte Plattform, die von der Europäischen Kommission 
eingerichtet worden ist. Die Nutzung dieser Plattfonn steht nur bestimmten Nut¬ 
zern — nämlich Übertragungsnetzbetreibern (ÜNB) und Verteilnetzbetreibem 
(VNB) und Betreibern aus dem Gas-, Strom- und Ölbereich - offen. Vor Nutzung 
der Plattfonn ist eine Registrierung erforderlich. 

ITIS-EUC sammelt Informationen über Vorfälle und Bedrohungen im Energie¬ 
bereich und nutzt dabei Open-Source-Informationen. ITIS-EUC kann auch Infor¬ 
mationen von einzelnen registrierten Betreibern aus dem Energiebereich erhalten 
und an seine übrigen registrierten Nutzer weitergeben. Eine Zusammenarbeit von 
mitgliedstaatlichen Einrichtungen und Behörden mit dem ITIS-EUC ist nicht vor¬ 
gesehen. 

Die von ITIS-EUC zur Verfügung gestellten Informationen und Analysen sollen 
das Bewusstsein für mögliche Cyberbedrohungen im Energiesektor und in den in 
diesem Bereich tätigen Unternehmen erhöhen. 
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9. Was ist der Bundesregierung über die Einrichtung einer „Cyber platfonn for 
education, training, exercise and evaluation“ (ETEE) bekannt (http://gleft. 
de/29D), wo wird diese installiert, und wer nimmt daran teil? 

Die Europäische Verteidigungsagentur (EDA) hat basierend auf einer Beauftra¬ 
gung durch den EU Capability Development Plan (CDP) die Machbarkeit einer 
solchen Plattform bzw. eines Zentrums untersucht. Ein erster Studienbericht zu 
der Frage, der drei verschiedene Modelle vorschlug, wurde dem European Union 
Military Committee (EUMC) und der Politisch-Militärischen Gruppe (PMG) des 
PSK im Sommer 2016 zur Bewertung vorgelegt. Basierend auf diesem Bericht 
wurde die Präferenz der Mitgliedsstaaten für das Modell, welches eine Plattform 
innerhalb des European Security and Defence College (ESDC) beschrieb, zum 
Ausdruck gebracht. Eine Implementierungsstudie wurde durch EDA im Flerbst 
2017 vorgelegt. Basierend auf den Machbarkeitsanalysen der EDA und einer 
Empfehlung des EUMC vom Oktober 2017 sowie einer einstimmigen Entschei¬ 
dung des zuständigen Steuerungskomitees des ESDC vom Februar 2018 wird die 
Cyber ETEE Plattform als Teil des ESDC in Brüssel eingerichtet. Damit unter¬ 
liegt die Plattform der Steuerungsstruktur des ESDC und ist allen EU Mitglied¬ 
staaten zugänglich. 


a) Welche Ziele werden mit der ETEE verfolgt, und wie werden Doppelun¬ 
gen mit bestehenden Einrichtungen vermieden? 

Ziel der Plattform ist es, auf europäischer Ebene den Cyberausbildungs- und 
Übungsbedarf, der sich aus der Gemeinsamen Sicherheits- und Verteidigungspo¬ 
litik (GSVP) ergibt, zu koordinieren, zu harmonisieren und zu standardisieren, 
sowie die Erfüllung dieses Bedarfes entlang der Grundprinzipien des ESDC durch 
nationale Ausbildungs- und Übungseinrichtungen der EU Mitgliedsstaaten oder 
anderen EU Ausbildungseinrichtungen (z. B. CEPOL) sicherzustellen. Damit hat 
die Cyber ETEE Plattform eine rein koordinierende Funktion. Das ESDC ist die 
einzige EU-Einrichtung, die sich innerhalb der GSVP Strukturen mit GSVP-spe- 
zifischem Ausbildungsthemen befasst. Um das Risiko der Doppelung im EU und 
multinationalen Kontext zu minimieren, ist es geplant, dass die Cyber ETEE 
Plattform einen ständigen und strukturierten Dialog mit anderen Einrichtungen 
(z. B. ENISA; NATO CCD COE) im Themenfeld einrichtet und aufrechterhält. 


b) Welche Kosten (auch Machbarkeitsstudien) entstehen für die ETEE, und 
wie werden diese übernommen? 

Flierzu liegen der Bundesregierung keine Informationen vor. 


c) Wann soll die ETEE starten bzw. ihre volle Einsatzbefähigung erreichen? 

Die Initial Operational Capability (IOC) ist für September 2018 und die Full Ope¬ 
rational Capability (FOC) für April 2019 geplant. 
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10. Welchen neuen EU-(Rechts-)Rahmen für die Reaktion auf „Cybersicher¬ 
heitskrisen“ hält die Bundesregierung für notwendig, und wie müsste dieser 
ausgestaltet werden? 

Der von der Europäischen Kommission vorgeschlagene Rechtsrahmen wird 
durch das Cybersecurity Package, insbesondere dem Cybersecurity-Act, wider¬ 
gespiegelt. Generell begrüßt die Bundesregierung die von der Kommission vor¬ 
geschlagenen Maßnahmen zur Stärkung der Cybersicherheit. Die Ausgestaltung 
des Rechtsrahmens wird derzeit verhandelt. 


11. Welche Haltung vertritt die Bundesregierung zur Frage, wie ein „Cybersi- 
cherheits-Notfallfonds“ ausgestaltet werden könnte, und ob Mittel hierfür 
aus vorhandenen Strukturen verteilt werden könnten? 

Über die Einrichtung eines „Cybersicherheits-Notfallfonds“ auf EU-Ebene ist der 
Bundesregierung derzeit nichts bekannt. 


12. Welche neuen Kapazitäten sollte die Europäische Union aus Sicht der Bun¬ 
desregierung zur „Enttarnung, Rückverfolgbarkeit und Verfolgung von Cy¬ 
berkriminellen“ entwickeln? 

Aus Sicht der Bundesregierung müssen die Strafverfolgungsbehörden stets in der 
Lage sein, mit der technischen Entwicklung im Bereich der Cyberkriminalität 
Schritt zu halten. Deshalb begrüßt die Bundesregierung grundsätzlich den Aufbau 
neuer Kapazitäten zur Enttarnung, Rückverfolgbarkeit und Verfolgung von 
Cyberkriminellen in der Europäischen Union und bei den Mitgliedsstaaten. 


13. Welche Haltung vertritt die Bundesregierung zur Frage, welche militäri¬ 
schen EU-Strukturen („Cyberabwehrprojekte“) in die zivile Cyberabwehr 
eingebunden werden sollten? 

Militärische Cyberabwehrprojekte sollen nur innerhalb des Militärs und seiner 
eigenen Netzwerke Geltung haben. Für die Cybersicherheit von Behörden, Un¬ 
ternehmen und Bürgern sind zivile Einrichtungen zuständig. Die Bundesregie¬ 
rung erachtet einen Informationsaustausch zu Cyber-Bedrohungen zwischen mi¬ 
litärischen und zivilen EU-Strukturen bzw. EU-Einrichtungen zum Zweck der 
Prävention im Rahmen des geltenden Rechts grundsätzlich als sinnvoll. 


a) Was ist der Bundesregierung über Planungen bekannt, die ständige struk¬ 
turierte Zusammenarbeit (PESCO) und den Europäischen Verteidigungs¬ 
fonds stärker in die eigentlich zivile Cyberabwehr zu integrieren (bitte et¬ 
waige Projekte oder Initiativen aufführen)? 

Der Bundesregierung sind keine Planungen bekannt. 
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b) Was ist der Bundesregierung darüber bekannt, auf welche Weise die Eu¬ 
ropäische Union und die NATO den Infonnationsaustausch zwischen ih¬ 
ren jeweiligen Cybersicherheitsgremien (laut EU-Kommission dem IT- 
Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU 
(CERT-EU) und der Computer Incident Response Capability (NCIRC) 
der NATO), intensivieren, wozu die beiden Partner in den Jahren 2017 
und 2018 erstmals parallele und koordinierte Übungen zur Reaktion auf 
ein hybrides Angriffsszenario abgehalten haben? 

Die strategische Partnerschaft zwischen der EU und der NATO basiert auf der 
NATO-EU-Joint Declaration 2016. Ein Teil davon ist die Kooperation im Bereich 
der Cyber-Sicherheit und der Cyber-Abwehr, unter anderem durch die gegensei¬ 
tige Teilnahme an Übungen. Um diese politischen Vorgaben umzusetzen, nah¬ 
men beispielsweise der EU Military Staff (EUMS) und das Computer Incident 
Response Team der EU (CERT-EU) an der NATO-Übung CYBER COALITION 
2017 als Beobachter teil. 

Der Informationsaustausch zwischen dem CERT-EU und der NATO Computer 
Incident Response Capability (NCIRC) wurde durch ein Technical Arrangement 
vom Februar 2016 formalisiert. 


c) Wie sollen die „Bemühungen um bessere Interoperabilität bei den Cyber¬ 
sicherheitsstandards“ umgesetzt werden? 

Der Bundesregierung sind keine Cybersicherheitsstandards bekannt, die in den 
Kontext der „militärischen EU-Strukturen“ gehören. 


14. Was ist der Bundesregierung über Ort und Zeitpunkt einer Cybersicherheits¬ 
übung „Cyber Europe 2018“ bekannt (sofern die Übung in einzelne Teile 
aufgegliedert ist, diese bitte benennen)? 

Die zentrale Übungssteuerung erfolgt von der ENISA in Athen aus, so dass alle 
Übenden von ihren üblichen Arbeitsplätzen aus teilnehmen können. Der Übungs¬ 
termin wird von der ENISA bekannt gegeben. 


a) Wer nimmt an der Übung teil, und inwiefern soll diese im Kontext anderer 
Übungen, etwa der NATO, abgehalten werden? 

Zur Übung sind-wie in den Vorjahren-die nationalen CERTs eingeladen. Diese 
können nationale Behörden und Unternehmen aus dem Bereich Luftfahrt einla- 
den. Für Deutschland steht noch nicht fest, wer außer dem BSI teilnehmen wird. 


b) Welche Szenarien werden dort geübt? 

Das Szenario wird mit dem Trailer, der über die Webseite: www.enisa.europa. 
eu/topics/cyber-exercises/cyber-europe-programme/cyber-europe-2018 aufgeru¬ 
fen werden kann, illustriert. Detailliertere Infonnationen sind der Bundesregie¬ 
rung derzeit nicht bekannt und stehen vor der Übung und während des Planungs¬ 
prozesses nur den Planem zur Verfügung. 
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c) Sofern auch Szenarien wie die „Verunstaltung von Webseiten“, „Daten¬ 
diebstahl von Benutzemamen und Passwörtern“, „Ausschalten der Ener¬ 
gieversorgung eines Flughafens“, „Kontrolle über die Flugzeugbetan¬ 
kungsanlage“ oder die Reaktion auf das Streuen von Falschinfonnationen 
geübt werden sollen, welche Details sind der Bundesregierung hierzu be¬ 
kannt? 

Die genannten Szenarien sind als Übungsszenario grundsätzlich möglich. Im Üb¬ 
rigen wird auf die Antwort zu Frage 14b verwiesen. 


15. Welche Szenarien werden nach Kenntnis der Bundesregierung in der militä¬ 
rischen Übung „Locked Shields 2018“ vom 23. bis 27. April 2018 in Tallinn 
geübt (Antwort der Bundesregierung auf Bundestagsdrucksache 19/1212)? 

Locked Shields ist eine Übung zu technischen Einzelaspekten im Cyberraum. Für 
technische Übungen sind Szenarien eher vemachlässigbar. Weitere Details der 
Szenarien für „Locked Shields 2018“ sind der Bundesregierung derzeit noch nicht 
bekannt. 


a) Welche Staaten, mit denen Beitrittsverhandlungen zum NATO Coopera- 
tive Cyber Defence Centre of Excellence (CCDCOE) vor dem Abschluss 
stehen, werden eingeladen bzw. nehmen teil? 

Hierzu liegen der Bundesregierung keine Informationen vor. 


b) Inwiefern ist mittlerweile bekannt, welche Cyberübungen, an denen sich 
die Bundeswehr 2018 beteiligt, an der Schwelle eines bewaffneten An¬ 
griffs operieren? 

Zum jetzigen Zeitpunkt sind die Szenarien der Cyberübungen, an denen die Bun¬ 
deswehr in 2018 teilnimmt, noch nicht bekannt. 


c) An welchen Cyberübungen der Europäischen Union oder der NATO hat 
sich die Bundeswehr in der Vergangenheit mit „Red-Teams“ beteiligt 
(Antwort der Bundesregierung auf Bundestagsdrucksache 19/1212)? 

d) In welchen Cyberübungen, an denen sich die Bundeswehr 2017 beteiligt, 
wurde mit den Anwendungen „Cobalt Strike“, „Metasploit“ oder „Burp 
Proxy“ geübt? 

Die Fragen 15c und 15d werden gemeinsam beantwortet. 

Es wird auf den „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil 
gemäß Vorbemerkung der Bundesregierung verwiesen.* 


Das Bundesministerium der Verteidigung hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 

Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 
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16. Welche weiteren Anstrengungen sollte die Europäische Union aus Sicht der 
Bundesregierung hinsichtlich von Cyberdiplomatie und internationalen Cy- 
bemormen sowie zur Umsetzung der „Cyber Diplomacy Toolbox“ (Ratsdo¬ 
kument 9916/17) unternehmen? 

Die EU sollte aus Sicht der Bundesregierung hinsichtlich Cyberdiplomatie und 
internationalen Cybernormen den „Rahmen für eine gemeinsame diplomatische 
Reaktion der EU auf böswillige Cyberaktivitäten“ („Diplomatischer Reaktions¬ 
rahmen“) zur Anwendung bringen. Die EU sollte sich außerdem im Rahmen ihrer 
Cyberdiplomatie weiterhin dafür einsetzen, dass Staaten sich regelkonform und 
vertrauensbildend im Cyberraum bewegen. 


17. Welche Drittländer außer den USA, Japan, Indien, der Republik Korea und 
China sollten aus Sicht der Bundesregierung für die Europäische Union zur 
Etablierung „starker Bündnisse“ oder zu Gesprächen über das Thema Cyber¬ 
sicherheit im Fokus stehen? 

Aus Sicht der Bundesregierung sollte sich die EU auch in näherer Zukunft bei 
Gesprächen und Austauschformaten zum Thema Cybersicherheit auf die genann¬ 
ten Drittländer fokussieren. 


18. Welche Haltung vertritt die Bundesregierung zur Frage der Notwendigkeit 
eines „Rahmens für eine gemeinsame diplomatische Reaktion auf böswillige 
Cyberaktivitäten“? 

Die Bundesregierung betrachtet den „Diplomatischen Reaktionsrahmen“ als not¬ 
wendig. Sie hat sich an seiner Formulierung beteiligt. 


19. Inwiefern bzw. nach welcher Maßgabe sollte die Europäische Union aus 
Sicht der Bundesregierung zukünftig mit (öffentlichen oder nichtöffentli¬ 
chen) diplomatischen Verurteilungen, Erklärungen oder Ratsschlussfolge¬ 
rungen an Regierungen, die als Urheber von Cyberangriffen verdächtigt wer¬ 
den, reagieren (Ratsdokument WK 2641/2018 INIT)? 

Der „Diplomatische Reaktionsrahmen“ und dessen Umsetzungsrichtlinien (Rats¬ 
dokument 13007/17) stellen die Maßgaben für eine gemeinsame diplomatische 
Reaktion der EU auf böswillige Cyberaktivitäten dar. Entsprechende Entschei¬ 
dungen treffen die Mitgliedstaaten von Fall zu Fall auf der Grundlage von Infor¬ 
mationen aus allen relevanten Quellen. 


20. Mit welchen Maßnahmen sollte die Europäische Union aus Sicht der Bun¬ 
desregierung zukünftig gemeinsam auf „böswillige Cyberaktivitäten“ rea¬ 
gieren? 

a) Nach welcher Maßgabe fielen „böswillige Cyberaktivitäten“ unter die Re¬ 
gelungen der „Solidaritätsklausel“ nach Artikel 222 des Vertrags über die 
Arbeitsweise der Europäischen Union (AEUV)? 

b) Inwiefern könnten als „Reaktion auf böswillige Cyberaktivitäten“ Instru¬ 
mente der integrierten EU-Regelung für die politische Reaktion auf Kri¬ 
sen (ICPR) genutzt werden? 

c) In welchen zivilen oder militärischen Cyberübungen, an denen sich die 
Bundesregierung beteiligt hat, wurde der ICPR-Mechanismus bereits be¬ 
rücksichtigt? 



Deutscher Bundestag - 19. Wahlperiode 


- 11 - 


Drucksache 19/1900 


d) Inwiefern könnten sich etwaige EU-Reaktionen aus Sicht der Bundesre¬ 
gierung auch auf die United Nations Group of Governmental Experts on 
Developments in the Field of Information and Telecommunications in the 
Context of International Security (UN GGE) berufen, und welche Initia¬ 
tiven sind der Bundesregierung hierzu bekannt? 

Die Fragen 20 bis 20d werden gemeinsam beantwortet. 

Der „Diplomatische Reaktionsrahmen“ und dessen Umsetzungsrichtlinien sehen 
als außenpolitische Reaktionsmöglichkeiten auf böswillige Cyberoperationen 
vorbeugende Maßnahmen, Maßnahmen der Zusammenarbeit, Stabilitätsmaßnah¬ 
men, restriktive Maßnahmen und eine Unterstützung völkerrechtskonformer Re¬ 
aktionen der Mitgliedstaaten durch die EU vor. 

Jede Entscheidung über den konkreten Einsatz der genannten außenpolitischen 
Reaktionen muss im Einzelfall getroffen werden. Eine allgemeine Antwort zu den 
Fragen 20a bis 20d ist daher nicht möglich. Bisher war die Bundesregierung 
weder an zivilen noch an militärischen Cyberübungen beteiligt, bei denen der 
ICPR-Mechanismus bereits berücksichtigt wurde. 


21. Wie könnte ein „Protokoll für die Notfallreaktion“ auf Cybersicherheitsvor¬ 
fälle („Emergency Response Protocol”) europäischer Strafverfolgungsbe¬ 
hörden aus Sicht der Bundesregierung ausgestaltet und umgesetzt werden 
(Ratsdokument 11809/17)? 

a) Welches Ausmaß müssten IT-Störungen annehmen, um das Protokoll zu 
aktivieren, bzw. wie würde die Aktivierung bestimmt? 

b) Welche zivilen und militärischen EU-Lagezentren sollten daraufhin akti¬ 
viert werden? 

c) Welche Einrichtungen sollten mit der Überwachung offener Quellen 
(„Open Source Monitoring” und taktischer Koordination beauftragt wer¬ 
den? 

Die Fragen 21 bis 21c werden gemeinsam beantwortet. 

Die Erarbeitung eines EU-Protokolls für die Notfallreaktion auf schwerwiegende 
Cybersicherheitsvorfälle ist ein in der Entwicklung befindlicher Prozess unter 
Sachleitung der derzeitigen bulgarischen EU-Ratspräsidentschaft. Die mögliche 
Implementierung eines solchen Protokolls wird unter Beteiligung aller EU-Mit- 
gliedstaaten, der EU-Kommission und EUROPOL in Workshops ergebnisoffen 
diskutiert. Zurzeit steht daher noch nicht fest, ob bzw. wann dieses Protokoll zur 
Anwendung kommt und wie es im Detail ausgestaltet sein wird. 

Wegen der vorgenannten multilateralen Erörterungen und der noch nicht abge¬ 
schlossenen Meinungsbildung der Bundesregierung können die Antworten zu den 
Fragen 21a bis 21c noch nicht abschließend beantwortet werden. 


22. Welche Defizite sieht die Bundesregierung bei der EU-Reaktion auf die Cy¬ 
berangriffe mit „Wannacry“ und „NotPetya“ („Herausforderungen, an deren 
Bewältigung gearbeitet wird“, Ratsdokument 11539/17), und welche Maß¬ 
nahmen hält sie hierzu für erforderlich? 

Die genannten Schadprogramme haben sich vor allem aufgrund von nicht aktua¬ 
lisierten Betriebssystemen und nicht-separierten Netzwerken in Unternehmen 
ausgebreitet. Gefordert waren daher die Unternehmen, ihre Sicherheitskonzepte 
auf den Stand der Technik zu bringen. Die EU kann in solchen Fällen nur durch 
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Informationen und Warnungen agieren. Da diese erfolgt sind, sieht die Bundes¬ 
regierung insofern bei der Reaktion der EU auf die genannten Vorfälle keine De¬ 
fizite. 


a) Welche Rolle übernimmt das geheimdienstliche Lagezentrum INTCEN 
schon jetzt bei der Zurechnung („Attribuierung“) von Cyberangriffen, und 
wie sollten diese Fähigkeiten ausgebaut werden? 

Der Bundesregierung ist nicht bekannt, dass das EU-Zentrum für Informations¬ 
gewinnung und -analyse (INTCEN) des Europäischen Auswärtigen Dienstes 
(EAD) eine entsprechende Rolle einnimmt. Die Zurechnung einer bösartigen 
Cyberaktivität verbleibt eine souveräne politische Entscheidung eines Mitglied¬ 
staats, die von Fall zu Fall auf der Grundlage von Informationen aus allen rele¬ 
vanten Quellen getroffen wird. 


b) Auf welche Weise ist das INTCEN bzgl. der Cyberangriffe mit „Wan- 
nacry“ und „NotPetya“ tätig geworden? 

Der Bundesregierung liegen keine Erkenntnisse dazu vor, ob und wenn ja, auf 
welche Weise das INTCEN sich mit den genannten Fällen beschäftigt hat oder 
tätig geworden ist. 


c) Welche deutschen Behörden haben hierzu Lageberichte beigesteuert? 

Das Bundesamt für Sicherheit in der Informationstechnik hat zu den Vorfällen 
„Wannacry“ und „NotPetya“ angemessen und ausführlich berichtet. 


d) Auf welche Weise sind welche EU-Agenturen oder IT-Netzwerke (etwa 
die Reaktionsteams für Computersicherheitsverletzungen) bzgl. der Cy¬ 
berangriffe mit „Wannacry“ und „NotPetya“ tätig geworden bzw. weiter¬ 
hin damit befasst? 

Das CSIRT-Netzwerk hat sich zu NotPetya- und WannaCry-Vorfällen in Europa 
ausgetauscht und gemeinsame Lageberichte verfasst. Die Behandlung der einzel¬ 
nen, konkreten Vorfälle oblag jedoch den Betroffenen. 

Darüber hinaus hat sich Europol mit dem Cyberangriff „WannaCry“ befasst und 
war dabei beratend und koordinierend tätig. 


23. Was ist der Bundesregierung darüber bekannt, welche EU-Agenturen oder 
IT-Netzwerke mit Ermittlungen und Analysen zu Angriffen mit der Schad¬ 
software „Snake“ (bzw. „Turla“, „Uroburos“), „Stuxnet“, „Black Energy“ 
oder „Mirai“ befasst waren oder sind? 

Das CERT-EU analysiert kontinuierlich als relevant angesehene Schadsoftware, 
darunter auch Snake, Mirai und BlackEnergy. Europol war bei den Ermittlungen 
zu Mirai Ende 2016 koordinierend eingebunden. 
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